無線網(wǎng)絡(luò)的方便快捷是的廣大用戶深受喜愛，不僅筆記本用戶熱衷于無線使用，一些企業(yè)中通過給PC機配置無線網(wǎng)卡也加入了無線用戶的大潮中。但是無線網(wǎng)絡(luò)的安全性是讓人十分擔(dān)憂的，那么我們能不能如同有線網(wǎng)絡(luò)一樣搭建入侵蜜罐來找出入侵著呢？本篇文章就教給廣大的讀者如何通過搭建無線入侵蜜罐，找出無線網(wǎng)絡(luò)入侵者。

一.什么是無線入侵蜜罐：

首先我們需要明確什么是蜜罐，在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全領(lǐng)域存在一個定義——蜜罐，蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并無其他實際作用，因此所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描、攻擊和攻陷。而蜜罐的核心價值就在于對這些攻擊活動進行監(jiān)視、檢測和分析。說白了蜜罐就是一個假冒的系統(tǒng)，吸引入侵者進入，然后對其進行誘捕。通過一個實際存在的具備漏洞的系統(tǒng)來針對入侵者反捕獲，從而對其進行快速定位。

而對于無線入侵蜜罐來說工作原理是一樣的，只不過他是一個具備入侵漏洞的無線網(wǎng)絡(luò)，吸引入侵者進入然后對其進行誘捕，從而定位其網(wǎng)絡(luò)參數(shù)將入侵者基本信息進行收集，最終更好的對其進行防范。例如通過MAC地址過濾，IP地址封鎖等方式將存在入侵可能的主機禁用，取消其連接無線網(wǎng)絡(luò)的權(quán)限。

二.如何搭建無線入侵蜜罐系統(tǒng)：

那么對于普通用戶和企業(yè)網(wǎng)絡(luò)者來說如何搭建無線入侵蜜罐系統(tǒng)呢?蜜罐系統(tǒng)的搭建需要有兩個因素，我們分別進行講解。

第一是建立存在漏洞的無線網(wǎng)絡(luò)，我們可以根據(jù)需要選擇廣播SSID網(wǎng)絡(luò)ID，使用簡單KEY方式進行WEP加密等。所有設(shè)置都通過無線路由器來完成，通過無線參數(shù)設(shè)置界面開啟無線網(wǎng)絡(luò)及相關(guān)參數(shù)。

開啟具備漏洞的無線網(wǎng)絡(luò)后我們可以通過無線掃描工具針對該網(wǎng)絡(luò)進行掃描，確認漏洞存在且穩(wěn)定運行。

第二要能夠針對入侵者進行合理監(jiān)控，一般我們都是通過監(jiān)控制工具或網(wǎng)絡(luò)管理程序來完成的，sniffer類工具是不錯的選擇;如果是企業(yè)無線設(shè)備并具備鏡像端口轉(zhuǎn)發(fā)功能的話效果會更好，我們直接通過鏡像端口對入侵者接入端口或總出口進行sniffer監(jiān)控即可。所有數(shù)據(jù)流量將被原封不動的轉(zhuǎn)發(fā)到sniffer監(jiān)控端，這樣我們就可以仔細分析入侵者的網(wǎng)絡(luò)流量以及相關(guān)數(shù)據(jù)信息了。

不過對于大部分設(shè)備和家庭用戶來說擁有具備鏡像端口轉(zhuǎn)發(fā)功能的無線網(wǎng)絡(luò)設(shè)備很困難，這時我們該如何實現(xiàn)合理監(jiān)控目的呢?就筆者個人經(jīng)驗來說可以通過HUB來完成，雖然在實際網(wǎng)絡(luò)應(yīng)用過程中HUB容易造成廣播數(shù)據(jù)包泛濫以及數(shù)據(jù)包重復(fù)轉(zhuǎn)發(fā)，不過這個缺點恰恰可以幫助我們應(yīng)用到無線入侵蜜罐系統(tǒng)的搭建中，通過在無線設(shè)備出口連接一臺HUB設(shè)備，然后HUB一個接口連接上層設(shè)備或外網(wǎng)，另一個接口直接連接安裝了sniffer軟件的監(jiān)控主機，這樣當入侵者連接到無線設(shè)備后必然會有相關(guān)數(shù)據(jù)包轉(zhuǎn)發(fā)到HUB上，由于HUB會復(fù)制相當數(shù)據(jù)到各個端口，所以在另一個接口直接連接安裝了sniffer軟件的監(jiān)控主機上就能夠查看到相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)，這些數(shù)據(jù)都是入侵者產(chǎn)生的，從而實現(xiàn)了對入侵者進行合理監(jiān)控的目的。

三.實戰(zhàn)搭建無線入侵蜜罐系統(tǒng)

下面我們就來通過實戰(zhàn)搭建無線入侵蜜罐系統(tǒng)，筆者需要的設(shè)備是一臺筆記本，一個HUB以及一個無線設(shè)備(可以是無線路由器)。

小提示：

在實際使用過程中我們要確保能夠找到HUB而不是二層交換機，因為只有HUB這個工作于一層的設(shè)備才能夠幫助我們監(jiān)控數(shù)據(jù)，如果是交換機的話在一個接口接收到數(shù)據(jù)后并不會重復(fù)復(fù)制到其他接口，我們自然無法順利監(jiān)控到數(shù)據(jù)信息。

第一步：首先進入無線路由器開啟SSID廣播以及無線網(wǎng)絡(luò)，當然必要時可以結(jié)合WEP加密等方式，為了更好的實現(xiàn)蜜罐性能筆者沒有針對該無線網(wǎng)絡(luò)進行任何加密，任何入侵者都可以連接此無線網(wǎng)絡(luò)。

第二步：接下來等待一段時間后我們進入到無線路由器LAN狀態(tài)處，查看active clients活動主機，在這里顯示的是當前已經(jīng)連接到無線路由器的主機。我們對比本地網(wǎng)絡(luò)各個主機IP后可以發(fā)現(xiàn)一個名為ZZ的IP是192.168.1.105的主機屬于非法入侵，他就是我們捕獲到的入侵者，蜜罐系統(tǒng)吸引對方成功。

第三步：點擊active clients下的非法入侵者MAC地址我們可以了解其硬件基本信息，該入侵者使用的無線網(wǎng)卡是linksys公司的。

第四步：連接各個網(wǎng)絡(luò)設(shè)備，首先是將HUB的一個接口與出口設(shè)備或上層設(shè)備(筆者的是ADSL貓)連接。

第五步：HUB的另外一個接口和無線路由器的WAN接口連接，這樣通過無線路由器上網(wǎng)的所有數(shù)據(jù)都將通過其WAN接口發(fā)向HUB。

第六步：最后我們將安裝了sniffer工具的計算機與HUB的另外一個接口連接，對其進行監(jiān)控。

第七步：確認當前蜜罐系統(tǒng)下連設(shè)備可以順利上網(wǎng)，我們可以通過訪問 www.xxxx.com 確認。

第八步：筆者使用的是科來網(wǎng)絡(luò)公司的網(wǎng)絡(luò)分析系統(tǒng)充當sniffer工具，通過監(jiān)控本地網(wǎng)卡來監(jiān)聽HUB通訊。

第九步：當然為了更好的接收數(shù)據(jù)提升監(jiān)控效果我們可以將監(jiān)控主機的IP地址進行調(diào)整，設(shè)置為于入侵者獲取的IP地址段相同，在一個網(wǎng)段內(nèi)可以更好的接受廣播數(shù)據(jù)包和組播數(shù)據(jù)包，從而提升監(jiān)控效果。

第十步：當入侵者以為攻擊無線網(wǎng)絡(luò)成功并輕松上網(wǎng)或攻擊掃描時在我們的監(jiān)控段將可以看到其的一舉一動，所有數(shù)據(jù)包都在我們的掌控之中。

第十一步：入侵者訪問的所有網(wǎng)頁地址，URL信息我們都可以在監(jiān)控端一絲不差的看到。

第十二步：即使該入侵者登錄MSN或FTP站點甚至論壇我們都可以輕松查看到帳戶信息以及聊天記錄內(nèi)容。

通過搭建無線入侵蜜罐系統(tǒng)我們可以在最短時間了解到當前網(wǎng)絡(luò)周圍存在的入侵者，然后可以通過反偵察的方法找出其所在，即使無法發(fā)現(xiàn)他的蹤影也可以通過BAN MAC地址，IP地址等方法最大限度的阻止其帶來的損害。希望通過本文可以讓更多的家庭網(wǎng)絡(luò)用戶以及企業(yè)網(wǎng)絡(luò)管理員打造更加安全更加穩(wěn)定的無線網(wǎng)絡(luò)。

【編輯推薦】

1. 黑客的天敵:HONEYPOT(蜜罐)引誘技術(shù)
2. 解析蜜罐技術(shù)要點及其潛在問題
3. 安全技術(shù)講解：配置IIS蜜罐抵御黑客攻擊
4. 在企業(yè)環(huán)境中使用蜜罐技術(shù)會有哪些風(fēng)險？
5. 蜜罐服務(wù)器成黑客DoS元兇 安全公司很受傷